+ Responder ao Tópico



  1. #1

    Padrão FAIXA IP - bloquear

    Pessoal, estou com uma faixa IP completa /24, e uso apenas 10 IP´s. Bom, o problema é o seguinte, caso pinte algum espertinho que esteje no meu mesmo barramento, e ele descubra isso, pode muito bem pegar um desses IP´s livres, configurar na sua máquina, e navegar sem as devidas proteções do proxy, entre outros privilegios. O que devo fazer em meu Roteador para que apenas aqueles 10 ip´s REAIS trafeguem?

    Obrigado,

  2. #2
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão FAIXA IP - bloquear

    divida sua rede em mascaras...
    Address: 200.221.4.128 11001000.11011101.00000100.1000 0000
    Netmask: 255.255.255.240 = 28 11111111.11111111.11111111.1111 0000
    Wildcard: 0.0.0.15 00000000.00000000.00000000.0000 1111
    =>
    Network: 200.221.4.128/28 11001000.11011101.00000100.1000 0000 (Class C)
    Broadcast: 200.221.4.143 11001000.11011101.00000100.1000 1111
    HostMin: 200.221.4.129 11001000.11011101.00000100.1000 0001
    HostMax: 200.221.4.142 11001000.11011101.00000100.1000 1110
    Hosts/Net: 14

    os que nao usar bloqueia com iptables.

  3. #3
    fbfsp
    Visitante

    Padrão Assunto: FAIXA IP - bloquear

    Você pode fazer de 3 maneiras:

    - Através de máscara como acima citado.

    - Pode bloquear pelo Firewall.

    - Pode liberar os ips que deseja e bloquear os que sobrarem através dos /etc/hosts.deny e /etc/hosts.allow.

  4. #4

    Padrão FAIXA IP - bloquear

    O problema é o seguinte, meu FIREWALL/linux, O ROUTER ATM, Servidores com IP REAL e máquinas INTERNAS com IPS fixos (10.10.x.x/masc255.255.0.0/gw10.10.1.1), estão no mesmo SWITCH CENTRAL.

    As máquinas INTERNAS pegam como getaway default uma das interfaces do ATM (10.10.1.1), e usam o PROXY/FIREWALL apenas pra NAT/squid e etc.

    Dai entao, como estao no mesmo SWITCH, o TAL ESPERTINHO pode pegar 1 IP FIXO VAGO, por como GW o endereco da interface INTERNET do ATM (200.xxx.xxx.1) e ficar independente do PROXY/FIREWALL sem nenhum problema...

    Será que eu deveria por um outro SWITCH entre as redes, para forçar a rede interna a depender do PROXY?

    Detalhe, neste ATM, tenho umas 90 Seriais VIRTUAIS WAN para todos os municipios do Estado, e algumas outras localidades na mesma cidade. Se fizer tal alteração na rede, pondo o ATM em outro Switch junto com os Servidores EXTERNOS, como seria quando viesse pacote dessas outras localidades? Eles iram passar pelo proxy tb? O ideal seria que nao!

    Espero que tenha me expressado bem...

    Valeu []´z

  5. #5
    loc_dog
    Visitante

    Padrão FAIXA IP - bloquear

    bom...
    pelo que entendi, você tem um concentrador ATM que através de seriais de baixa, você tem vários outros links com os outros municípios...
    qual é a marca desse roteador/concentrador ATM?
    você poderia criar uma ACL no roteador bloqueando os outros hosts da faixa /24 que não estão sendo utilizados.

  6. #6
    Visitante

    Padrão FAIXA IP - bloquear

    Citação Postado originalmente por loc_dog
    bom...
    pelo que entendi, você tem um concentrador ATM que através de seriais de baixa, você tem vários outros links com os outros municípios...
    qual é a marca desse roteador/concentrador ATM?
    você poderia criar uma ACL no roteador bloqueando os outros hosts da faixa /24 que não estão sendo utilizados.
    Ae loc_dog, ja tentei algumas ACL´s por aqui, mas, não tive sucesso... Poderia me dar um exemplo?

    O ATM é um Cisco 3725

  7. #7
    Fininho
    Visitante

    Padrão FAIXA IP - bloquear

    Meu jovem,

    access-list 1 permit 200.200.200.1 0.0.0.15

    vai liberar somente os ips de 1 a 15

    mais pra vc fechar na mosca os 10 ips:

    access-list 1 permit 200.200.200.1
    .
    .até
    .
    access-list 1 permit 200.200.200.10
    depois desta ultima linha fica implicito o deny any....

    e naum esqueça de aplicar essa lista a interface correta e na direçao correta...

    tipo:

    router(config)#interface ethernet 0
    router(config-if)#ip access-group 1 out

    boa sorte,

    fininho